Probleme mit S4Y und Pro Server Power X6!

[comaboy82]

Hallo,

bin nun seit gut einem Jahr Kunde von S4Y und hab den Pro Server Power X6 und war bisher sehr zufrieden.

Seit neustem häufen sich nun aber Lags und die dadurch resultierenden Timeouts, die sonst relativ selten im 3-4 Monats Rhythmus aufgetreten sind. Seit dem 10.08.2013 kommt das nun fast täglich vor und macht da ich auf dem Server Gameserver betreibe den ganzen Server für mich untauglich. Die Pings steigen dann über 300 und nach kurzer Zeit folgt dann der Kick vom Gamserver, hier reichen bereits Sekunden.

Grund dafür sind laut S4Y kleine Dos Angriffe, wovon ich allerdings keine Logs auf meinem Server finden kann, auch S4Y hat hier bereits nachgesehen. Deshalb bin ich bisher immer davon ausgegangen das es ein Angriff auf das RZ ist und eben nicht auf meinen Server. Nun sagte mir der Support aber gestern das es wohl doch Angriffe gezielt auf meinen Server sind, diese werden zwar weitestgehend bereits durch die DOS-Protektion von S4Y abgewehrt, schlagen aber immer noch durch und bringen somit den Gameserverbetrieb zum erliegen. Und leider sagte man mir auch das es keine andere Möglichkeit gibt als das Ende einer DOS abzuwarten.

Nun frage ich mich natürlich was kann ich selbst noch dagegen tun, bzw. würden andere Provider das besser hinbekommen? Mit Iptables hab ich bereits alle unbenötigten Ports blockiert und die Gameserverports werden gefiltert. Keine Ahnung was ich jetzt noch tun kann, es hat jedenfalls keinen Sinn, sollte das so bleiben weiterhin Gameserver dort zu betreiben.

MfG,
coma

 

[magenbrot]

Hast du Syncookies aktiv? Wenn nicht probier das mal:

sysctl -w net.ipv4.tcp_syncookies=1

http://etherealmind.com/tcp-syn-cookies-ddos-defence/

Je nach Intelligenz des Angreifers könnte es schon ausreichen die IP-Adresse deines Servers zu wechseln. Vielleicht ist S4Y da nett und hilft dir. Evtl. auch gleich den DNS-Namen ändern.

 

[comaboy82]

Ne, die sind nicht aktiv, werde ich nun aber mal noch ausprobieren.

Einen IP Wechsel halte ich für eine schlechte Lösung, zum einen weil der Angreifer einfach schnell zur anderen IP wechseln kann und zum anderen weil die IP auch gleichzeitig mein Aushängeschild ist, sprich darauf verbinden sich nun mal alle Spieler und die IP ist bei vielen in den Favoriten abgespeichert. Ein Wechsel würde bedeuten das die Gameserver anfangs wohl leer sind und es wieder eine Zeit dauert bis die Stammspieler kommen, ob das Problem dadurch auf lange Sicht gelöst ist wage ich auch zu bezweifeln.

Ich dachte auch bereits mir einen Anbieter zu suchen der den Server an einem 1 GBit/s-Port betreibt, wie z.B. der EX40 von Hetzner, meint Ihr das würde einen Unterschied machen zu den 100 MBit von S4Y, bzw. den Angriff besser kompensieren?

 

[yago]

Ich dachte auch bereits mir einen Anbieter zu suchen der den Server an einem 1 GBit/s-Port betreibt, wie z.B. der EX40 von Hetzner, meint Ihr das würde einen Unterschied machen zu den 100 MBit von S4Y, bzw. den Angriff besser kompensieren?

Hetzner sperrt bei eingehenden Angriffen ziemlich schnell, auch wenn es deutlich weniger als 1Gbit/s sind. Ich wäre da vorsichtig.

 

[magenbrot]

kommt außerdem auf die Art des Angriffs an. Kann S4Y dir mehr dazu sagen? Außerdem würde sich mit einem Wechsel zu einem anderen Anbieter ebenfalls deine IP ändern.

 

[comaboy82]

Hetzner sperrt bei eingehenden Angriffen ziemlich schnell, auch wenn es deutlich weniger als 1Gbit/s sind. Ich wäre da vorsichtig.

Deshalb frage ich ja eben, hast du denn Alternativen?

kommt außerdem auf die Art des Angriffs an. Kann S4Y dir mehr dazu sagen? Außerdem würde sich mit einem Wechsel zu einem anderen Anbieter ebenfalls deine IP ändern.

Das schon, aber eben mit der Hoffnung das die Angriffe besser abgefangen werden. Ich hab keine weiteren Informationen, ich hab zurzeit ein Ticket laufen, werde deshalb heute Abend nochmal fragen ob Sie mir nicht weitere Infos oder den Log geben können.

 

[Firewire2002]

Ich würde empfehlen die Bandbreite und Paketraten (Anzahl Pakete pro Sekunde) im 5 Minuten Intervall zu überwachen. Daraus lassen sich eventuell Tendenzen und Muster erkennen.
Ggfl. kann man dann zu passenden Uhrzeiten mit einem tcpdump auch mal schauen, was tatsächlich an Traffic rein und raus geht.

Erst dann lassen sich Schlussfolgerungen ziehen, was für dich die Beste Lösung ist. Aktuell ist das doch nichts halbes und nichts ganzes.

 

[tomasini]

Bevor man sich über vermeintliche Lösungen Gedanken macht, sollte man erst einmal das Problem kennen. IPTraf (http://iptraf.seul.org/2.6/manual.html) könnte dabei hilfreich sein.

 

[comaboy82]

Soeben hat mir ein hier angemeldeter S4Y Mitarbeiter die Logs der Dos Protektion meines Servers durchgegeben, demnach handelt es sich um einen UDP Flood mit um die 200Mbit/s. Hier ein Auszug aus der Tabelle:

No	Prefix	IP Group	Anomaly	Value	From	Duration	Pkts/s	Bits/s
301831	85.25.XXX.XXX	SERVER4YOU	UDP	169.9M	2013-08-14 12:07:34	<5sec	17.5k	169.9M
301827	85.25.XXX.XXX	SERVER4YOU	UDP	300.9M	2013-08-14 12:07:19	45s	31.5k	301.8M
301825	85.25.XXX.XXX	SERVER4YOU	UDP	394.5M	2013-08-14 12:07:17	45s	36.5k	395.4M
301821	85.25.XXX.XXX	SERVER4YOU	UDP	548.6M	2013-08-14 12:05:39	40s	49.7k	549.5M
301749	85.25.XXX.XXX	SERVER4YOU	UDP	199.9M	2013-08-14 11:46:52	15s	18.3k	200.3M
301745	85.25.XXX.XXX	SERVER4YOU	UDP	196.6M	2013-08-14 11:46:23	<5sec	17.3k	197.0M
301741	85.25.XXX.XXX	SERVER4YOU	UDP	179.8M	2013-08-14 11:46:08	15s	17.8k	180.7M
301739	85.25.XXX.XXX	SERVER4YOU	UDP	271.1M	2013-08-14 11:46:08	30s	31.1k	272.6M
301731	85.25.XXX.XXX	SERVER4YOU	UDP	415.5M	2013-08-14 11:45:47	45s	43.2k	416.3M
301727	85.25.XXX.XXX	SERVER4YOU	UDP	568.1M	2013-08-14 11:44:19	40s	52.8k	568.3M
297601	85.25.XXX.XXX	SERVER4YOU	UDP	282.6M	2013-08-13 20:43:12	22m	25.8k	283.1M
297597	85.25.XXX.XXX	SERVER4YOU	UDP	248.4M	2013-08-13 20:42:42	22m 15s	25.4k	249.2M
297591	85.25.XXX.XXX	SERVER4YOU	UDP	242.0M	2013-08-13 20:42:07	22m 35s	23.9k	242.9M
297565	85.25.XXX.XXX	SERVER4YOU	UDP	259.2M	2013-08-13 20:37:07	27m 35s	26.6k	260.5M
297561	85.25.XXX.XXX	SERVER4YOU	UDP	435.6M	2013-08-13 20:36:42	28m	44.0k	437.0M
297557	85.25.XXX.XXX	SERVER4YOU	UDP	515.0M	2013-08-13 20:36:26	28m 15s	51.0k	515.9M
297549	85.25.XXX.XXX	SERVER4YOU	UDP	698.4M	2013-08-13 20:34:59	28m	63.7k	699.7M
278371	85.25.XXX.XXX	SERVER4YOU	UDP	190.3M	2013-08-10 16:26:45	2m 45s	18.0k	190.7M
278369	85.25.XXX.XXX	SERVER4YOU	UDP	181.1M	2013-08-10 16:26:30	3m	17.3k	181.8M
278365	85.25.XXX.XXX	SERVER4YOU	UDP	374.6M	2013-08-10 16:25:59	3m	38.6k	374.8M
278363	85.25.XXX.XXX	SERVER4YOU	UDP	279.5M	2013-08-10 16:25:53	3m	28.4k	279.9M
278361	85.25.XXX.XXX	SERVER4YOU	UDP	230.7M	2013-08-10 16:25:53	3m	21.4k	231.6M
278359	85.25.XXX.XXX	SERVER4YOU	UDP	315.8M	2013-08-10 16:25:53	3m	32.4k	317.3M
278353	85.25.XXX.XXX	SERVER4YOU	UDP	461.7M	2013-08-10 16:24:27	3m	42.7k	461.9M
277141	85.25.XXX.XXX	SERVER4YOU	UDP	185.9M	2013-08-10 10:14:00	15s	18.2k	186.5M
277135	85.25.XXX.XXX	SERVER4YOU	UDP	203.8M	2013-08-10 10:13:28	10s	21.2k	205.0M
277133	85.25.XXX.XXX	SERVER4YOU	UDP	355.1M	2013-08-10 10:13:14	45s	37.3k	355.5M
277131	85.25.XXX.XXX	SERVER4YOU	UDP	187.0M	2013-08-10 10:13:08	45s	17.3k	187.9M
277129	85.25.XXX.XXX	SERVER4YOU	UDP	290.1M	2013-08-10 10:13:08	45s	28.6k	291.5M
277125	85.25.XXX.XXX	SERVER4YOU	UDP	403.5M	2013-08-10 10:11:46	40s	41.3k	403.9M
272959	85.25.XXX.XXX	SERVER4YOU	UDP	243.9M	2013-08-09 20:33:41	6m 45s	22.8k	244.3M
272957	85.25.XXX.XXX	SERVER4YOU	UDP	237.6M	2013-08-09 20:33:11	7m 30s	21.4k	237.6M
272945	85.25.XXX.XXX	SERVER4YOU	UDP	239.4M	2013-08-09 20:31:19	9m 41s	22.4k	239.9M
272941	85.25.XXX.XXX	SERVER4YOU	UDP	221.7M	2013-08-09 20:30:49	3m 30s	21.3k	221.7M
272937	85.25.XXX.XXX	SERVER4YOU	UDP	301.7M	2013-08-09 20:30:11	10m 45s	30.7k	303.3M
272935	85.25.XXX.XXX	SERVER4YOU	UDP	390.9M	2013-08-09 20:30:03	11m	38.0k	391.0M
272923	85.25.XXX.XXX	SERVER4YOU	UDP	525.0M	2013-08-09 20:28:46	10m 40s	49.7k	526.0M
272799	85.25.XXX.XXX	SERVER4YOU	UDP	227.1M	2013-08-09 19:57:49	8m 30s	19.8k	227.5M
272797	85.25.XXX.XXX	SERVER4YOU	UDP	215.8M	2013-08-09 19:57:49	8m 45s	22.1k	216.5M
272795	85.25.XXX.XXX	SERVER4YOU	UDP	435.1M	2013-08-09 19:57:18	8m 45s	40.2k	435.9M
272793	85.25.XXX.XXX	SERVER4YOU	UDP	244.3M	2013-08-09 19:57:11	8m 30s	24.3k	245.9M
272791	85.25.XXX.XXX	SERVER4YOU	UDP	240.5M	2013-08-09 19:57:11	8m 45s	23.9k	240.5M
272789	85.25.XXX.XXX	SERVER4YOU	UDP	403.7M	2013-08-09 19:57:11	8m 45s	37.8k	404.6M
272779	85.25.XXX.XXX	SERVER4YOU	UDP	651.6M	2013-08-09 19:55:46	8m 40s	59.9k	652.1M
271153	85.25.XXX.XXX	SERVER4YOU	UDP	150.9M	2013-08-09 12:28:19	<5sec	15.5k	152.2M
271145	85.25.XXX.XXX	SERVER4YOU	UDP	227.1M	2013-08-09 12:27:25	15s	21.2k	228.0M
271141	85.25.XXX.XXX	SERVER4YOU	UDP	383.4M	2013-08-09 12:26:58	1m	41.8k	383.6M
271137	85.25.XXX.XXX	SERVER4YOU	UDP	419.7M	2013-08-09 12:25:35	1m	42.8k	420.9M

 

[virtual2]

Bevor man sich über vermeintliche Lösungen Gedanken macht, sollte man erst einmal das Problem kennen. IPTraf (http://iptraf.seul.org/2.6/manual.html) könnte dabei hilfreich sein.

Verursacht bei einem starken DDoS gleich mal richtig viel CPU Last

 

[Eve]

demnach handelt es sich um einen UDP Flood mit um die 200Mbit/s.

UDP Ist ein Verbindungsloses Protokoll - demnach bist du da so gut wie Machtlos, Effektiv etwas erreichen kannst du nur mit einer Hardware Firewall vor dem Server In wie weit die Hardware Firewall etwas Bringt weis ich leider nicht da noch nie gebraucht.

Zum Thema Anbieter Wechsel, mehr Anbindung - Erkundige dich ob der Anbieter bei einem Bestimmten Paketdurchsatzrate Nullroutet die Erfahrung musste ich mit Webtropia machen und es war noch nicht mal ein DDoS...

 

[Terrorkarotte]

Ein wahrscheinlich ähnlicher Angriff ging auch vor kurzen auf meinen Root bei S4Y ein.

Aus Bequemlichkeit und weil ausschließlich wenige Gameserver laufen, hatte ich keine IPtables eingerichtet. Als es dann wiederholt zu Verbindungsstörungen gekommen ist wurden dies nachgeholt.

Die aufgestellten Regeln haben dann erst einmal zum Erfolg geführt. Beim nächsten Angriff wurde ein DOS auf die Rcon Ports der Gameserver erkannt, gefiltert und geloggt.

Nach ca. 2h muss dem Angreifer dann aufgefallen sein, dass sein DOS nicht mehr wirkt. Auf jeden Fall ist er dann zum DNS Amplification übergegangen und hat einen DDOS gestartet. Das es sich um solch einen Angriff gehandelt hat, konnte man schön daran sehen, dass ca. 2500 verschiedene IPs aus der ganzen Welt über UDP mit dem Source Port 53 losgelegt haben. Angekommen und gedropt wurden ca 1,5 Mio Pakete innerhalb von 3-5 Minuten.

Was Ursprünglich abgesendet wurde, dürfte mehr gewesen sein. Die Leitung war vollkommen dicht und ein Ping war nicht mehr möglich.

Laut Aussage der Hotline wurde der DDOS nach eben jenen 3-5 Minuten erkannt und intern gefiltert.

 

[comaboy82]

Bei mir war es die letzten Tage sehr ruhig, ich denke auch deshalb weil ich verschärfte Iptables Regeln definiert habe und eventuell hat S4Y auch ein wenig nachgelegt

Heute war der Ping nochmal ganz kurz oben, aber nur für wenige Sekunden, damit kann ich aber leben. Ich hab mittlerweile alle Ports geschlossen, nur noch SSH und die eigentlichen Gameserverports (Kein Rcon mehr!) sind geöffnet, wobei die gefiltert werden. Es wird nun extrem viel geloggt, sobald ich wieder mehr Zeit habe werde ich die ganzen Logs mal durchgehen und berichten werde da alles Böses im Schilde führt.

Ich vermute das hier wahllos die IPs von S4Y raus gepickt werden, scheinbar will da jemand S4Y ans Leder.

MfG,
coma

P.S.: Dennoch finde ich eine Anbindung mit 1Gbit/s besser, es kann eben viel mehr kompensiert werden, gerade das ist ja beim betreiben von Gameservern sehr wichtig. Vielleicht wird es diese Option bald auch von S4Y geben, dafür würde ich glatt 10€ mehr löhnen.

 

[s24!]

Hetzner sperrt bei eingehenden Angriffen ziemlich schnell, auch wenn es deutlich weniger als 1Gbit/s sind. Ich wäre da vorsichtig.

Völliger Quatsch. Wer Gigabit hat, wird erst ab 10-15 Minuten > 1 GBit/s incoming nullrouted. Wenn ein 100 MBit-Port bei 300 MBit/s incoming nullrouted wird: Wo ist das Problem? Der Server ist eh offline. Ticket eröffnen und Entsperrung beantragen, fertig...

 

[yago]

Völliger Quatsch. Wer Gigabit hat, wird erst ab 10-15 Minuten > 1 GBit/s incoming nullrouted. Wenn ein 100 MBit-Port bei 300 MBit/s incoming nullrouted wird: Wo ist das Problem? Der Server ist eh offline. Ticket eröffnen und Entsperrung beantragen, fertig...

Da hab ich damals andere Erfahrungen gemacht.
Es waren maximal ~350mbit/s und ich wurde trotzdem gesperrt.
Ich hab auch extra den Support kontaktiert, und der meinte ab einer bestimmten Anzahl packets per second wird gesperrt.

Außerdem:
Die binden ja ein ganzes rack nur mit einem Gbit an.

Wer Gigabit hat, wird erst ab 10-15 Minuten > 1 GBit/s incoming nullrouted.

Dann würden ja 19 andere Server 10-15 Minuten lang beeinträchtigt

 

[derWachert]

Die binden ja ein ganzes rack nur mit einem Gbit an.

Und das weißt du woher? Du triffst hier eine Aussage und legst sie als Fakt dar, deine Aussage scheint keine Vermutung zu sein.

Vielleicht kannst du uns als offenbarer Insider ja noch mehr über die genaue Uplinkstruktur der TotR Switche verraten. //vorsicht, ironie <- für die ganz harten Fälle

Nachtrag:

Es ist auch die völlig falsche Lösung gegen einen Angriff einfach mehr Bandbreite zu buchen. Wie schon erwähnt wurde, wirst du deswegen nicht minder gesperrt seitens des Anbieters da in der Regel durch "pps" gesperrt wird.

 

[yago]

Und das weißt du woher? Du triffst hier eine Aussage und legst sie als Fakt dar, deine Aussage scheint keine Vermutung zu sein.

Vielleicht kannst du uns als offenbarer Insider ja noch mehr über die genaue Uplinkstruktur der TotR Switche verraten. //vorsicht, ironie <- für die ganz harten Fälle

Wenn meine Aussage eine Vermutung gewesen wäre, hätte der Satz angefangen mit "Ich vermute..." oder ähnlichem.
Die Info kommt von Herrn Hetzner persönlich, siehe hier:
http://forum.hetzner.de/wbb2/thread.php?postid=202738#post202738

Wir werden trotzdem die Anbindung der Rackswitche bis auf weiteres bei 1 GBit/s belassen. Im Mittel ist damit ein Rackswitch mit 1 GBit Uplink für 20 Server mit etwa 40 MBit/s Abends ausgelastet.

Ich dachte eigentlich mittlerweile wäre das hier im Forum bekannt, nachdem das hier schon mehrmals gepostet wurde, aber scheinbar ist das bei einigen nicht angekommen.

 

[derWachert]

Die Aussage las sich auf Server4you bezogen, sry Bei Hetzner ist das vollkommen richtig (wenn man den zweiten PUplink ausser acht lässt ).

Allerdings bleibts dabei das dir ein gbit Uplink bei einem pps ausgelegtem Flood nichts bringt Weder bei Hetzner, noch bei Server4you.

Eine Beeinträchtigung tritt in der Regel wenn dann auch nur sehr kurz auf da Hetzner z.B. sehr zügig reagiert und notfalls Blackholes einsetzt. Lieber daher ein Anbieter der zügig reagiert und es passt, anstatt jemand der mir XYZ GBit/s verkauft, aber dann nicht reagiert. Die dickere Anbindung hilft bei einem gepflegten UDP/pps Flood rein gar nichts wenn der Switch / Router (Core) in die Knie geht.

 

[virtual2]

Zum Thema Anbieter Wechsel, mehr Anbindung - Erkundige dich ob der Anbieter bei einem Bestimmten Paketdurchsatzrate Nullroutet die Erfahrung musste ich mit Webtropia machen und es war noch nicht mal ein DDoS...

Da kann ich Webtropia aber auch mehr als verstehen. Irgendwie müssen die auch Ihre Infrastruktur möglichst simpel schützen

 

[Eve]

Da kann ich Webtropia aber auch mehr als verstehen. Irgendwie müssen die auch Ihre Infrastruktur möglichst simpel schützen

Klar steht der Schutz seiner Infrastruktur an erster stelle aber ein Teamspeak3 server mit 400peraonen wegen DDoS nullrouten?